Artikel

Allt är lugnt i båten, för här finns ingen varg...



2023-06-09

Nu när det är semestertider och skolavslutningar, så vill vi väl inte bli påminda om verklighetens hot och risker?
- Aja baja Peter, nu kommer inte folk att läsa din text! För om budskapet innehåller ord såsom krig, hot, risk och incident, så kommer många att stänga av helt.

Under de senaste åren och särskilt den senaste tiden har jag träffat på flera företagsledare och mellanchefer som utåt sett inte verkar särskilt oroliga för att deras egen verksamhet kan komma att drabbas av någon typ av säkerhetsincident, t.ex. stopp i produktionen, att den interna it-miljön inte går att använda, att deras externa webbsystemen inte kan användas av kunderna eller att intern information sprids eller missbrukas av en obehörig, etc.

Inställningen hos dessa personer verkar vara att "det man inte ser finns inte" och det är först när man ser det som man behöver agera... Förebyggande och riskreducerande verksamhet prioriteras därför inte om det saknas fakta som styrker att det skett ett intrångsförsök eller oegentlighet. Detta trots att det dagligen skrivs om organisationer som blir utsatta och att flera svenska myndigheter varnar för ökad fientlig aktivitet mot svenska intressen.

Jag förstår att majoriteten av de personer jag träffar inte jobbar med säkerhet på heltid och att deras vardagliga fokus består av något annat. Frågan är bara om de är medvetna om vilka risker de tar?

En företagsledare sa till mig att han inte tror att någon skulle vara intresserad av den verksamhet med 35 anställda, som han ansvarar för. Därför menade han att risken att drabbas av någon typ av säkerhetsincident är minimal. Han ändrade dock sin uppfattning efter vårt samtal om hur en modern angripare tänker och när vi räknat på vad det skulle kosta verksamheten vid olika scenarios.

Redan när jag påbörjade min karriär för mer än 20 år sedan, så sa många att säkerhetsbranschen har stora möjligheter, men också en lång uppförsbacke framför sig. Det kan jag skriva under på även idag! Vi behöver synas mer och berätta om alla de vi hjälper varje vecka och hur mycket det kostar att bara sitta lugn i båten. De drabbade organisationerna vill själva oftast inte synas med namn eller bli förknippade med att vara ett offer, vilket jag kan ha en viss förståelse för. Men, varför skämmas? Säkerhetsincidenter sker även hos säkerhetsmedvetna organisationer! Det är bara angriparna som tjänar på att vi inte pratar om det. De vill ju så klart att alla ska sitta lugnt i båten för då blir det lättare för dem att tjäna pengar!

Summering

  • Alla verksamheter är av intresse för angriparna.
  • Angriparna tar inte semester.
  • Angriparna orsakar inte alltid synlig skada, utan vill kanske vara "osynliga".
  • Underleverantörer är många gånger angriparnas enklaste väg in till de större organisationerna (slutmålet).
  • Flertalet organisationer saknar en förmåga att upptäcka avvikelser i den egna it-miljön samt krav på den driftorganisation som anlitas.
  • Det blir mycket billigare att arbeta förebyggande än att ta smällen när det händer.


Trevlig helg!
/Peter Bayer